从 UTC 9月8日 13:16 开始,一系列推送到 npm 的软件包似乎包含恶意代码,攻击非常有针对性,主要针对 web3 相关用户的大规模攻击。 请各位关注此事件,保护自己,我无法为各位提供解决办法。 该恶意代码会劫持浏览器钱包(如 MetaMask )和网络请求( fetch 和 XMLHttpRequest ),拦截 ETH 、BTC 、SOL 、TRX 等加密货币交易,通过替换目标地址将资金转移至攻击者钱包(如 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 ) 重大供应链攻击 著名开发者 qix 的 NPM 帐户遭到入侵,导致数十个软件包的恶意版本被发布,包括chalk、strip-ansi和color-convert。 攻击动作 代码首先检查是否存在(window.ethereum该对象由 MetaMask 等钱包扩展程序注入),则继续进行被动地址替换攻击。 被动地址替换 恶意脚本包含攻击者拥有的比特币 (BTC)、以太坊 (ETH)、Solana (SOL)、波场 (TRX)、莱特币 (LTC) 和比特币现金 (BCH)钱包地址,恶意代码采用了一种名为Levenshtein距离算法的复杂技术,该算法测量两个字符串之间的视觉相似度,会从列表中选一个跟目标地址更像的地址。 然后替换浏览器页面中显示的地址,当用户复制地址以后,其实复制的是攻击者的钱包地址。 主动交易劫持 如果检测到钱包,恶意软件就会启动其最危险的组件。 当用户发起交易时,恶意软件会在数据发送到钱包进行签名之前拦截数据。然后,它会修改内存中的交易,将收款人的地址替换为攻击者的钱包地址。 追踪被盗资金 由于区块链透明,我们可以监控这些欺诈性地址。以下是此次攻击中使用的主要以太坊地址之一。您可以在 Etherscan 上实时查看其活动。 攻击者的以太坊地址之一: 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 请参阅此 GitHub Gist以获取所有钱包的列表:https://gist.github.com/jdstaerk/f845fbc1babad2b2c5af93916dd7e9fb 总结 本次攻击目标是代码维护者,从而导致整个代码库被投毒,导致全部用户被影响,作为普通用户的我们似乎无力抵抗。 保护自己 虽然部分受影响的版本目前已从 npm 中移除,但仍有一些版本可用。 每次交易一定要仔细核对钱包地址。 大额转账前先小额尝试,然后也要仔细核对地址以后再大额转账。 参考链接
注意 Web3 钱包遭遇 NPM 超大规模供应链攻击投毒事件
从 UTC 9月8日 13:16 开始,一系列推送到 npm 的软件包似乎包含恶意代码,攻击非常有针对性,主要针对 web3 相关用户的大规模攻击。
